Hỏi về shell từ post bài trong wordpress và cách khắc phục

Thảo luận trong 'Hỗ trợ về mã nguồn, code' bắt đầu bởi taigamevleduvn, 4/4/16.

  1. taigamevleduvn

    taigamevleduvn Well-Known Member

    Bài viết:
    58
    Đã thích:
    4
    Chào mọi người, tình hình là em làm 2 cái web bằng wordpress ạ, đang phát triền tầm 2,3 tháng thì bỗng nhiên em thấy các page không hiểu ở đâu mọc ra và được google index luôn.
    Em tìm bằng: site:abc.com (ví dụ thôi ạ)
    Một ngày em tìm được tầm hơn 10 page tự động post mà em không hiểu nguyên nhân, đã vào cpanel của host và quét các kiểu thấy vẫn ko có, nhờ kỹ thuật bên host quét cũng không vấn đề gì.
    Em thấy vậy cứ hôm nào vẫn vào webmaster xóa và ngày mai nó lại mất nhưng lại xuất hiện các page khác - mà kỳ cục là mấy page đó em vào web em lại báo là lỗi 404. em nghĩ rằng nếu người ta đã hack và post page tự động như vậy thì muốn kiếm visit mà truy cập vào báo lỗi 404 là sao.
    Và kết lại đây có phải là bị dính shell tự động post bài hay không, em cài nhiều phần mềm quét trực tiếp trên wordpress mà không biết dùng :(
    Có thể trả lời câu hỏi của em và cho cách khắc phục được không ạ.
    Các link auto post:
    tênweb.com/leechxx/
    tênwweb/leechxx/412.html
    Đã có ai bị thế này chưa và xin cách khắc phục ạ
     
    Đang tải...
  2. duocus

    duocus Well-Known Member

    Bài viết:
    61
    Đã thích:
    3
    cái này cũng ko phải mới, wordpress trước mình cũng có site bị.
    muốn khắc phục, 1 là tìm thời điểm(ước lượng) bị dính, dùng các lệnh của linux để tìm những file đã sửa đổi, để lần ra dấu vết.

    theo bạn mô tả và theo kinh nghiệm của mình, bạn bị chèn mã vào file, mã này có tác dụng kiểm tra, nếu là bot google thì hiển thị nội dung, còn nếu ko phải thì web chạy bình thường, vì vậy khi bot google vào nó đọc ra dữ liệu, còn bạn vào bằng trình duyệt bình thường thì nó vẫn báo 404.

    Dòng lệnh đại loại của php sẽ là:

    if(strstr(strtolower($_SERVER['HTTP_USER_AGENT']),"googlebot"))
    {
    echo 'Cơn mưa ngang qua';
    }
    else {

    }
     
Đang tải...
Đang tải...